[HACK] Absuelto Quickbasic

merce merce at grn.es
Thu Oct 27 11:20:50 CEST 2005


11/10/05 16:19:40


ABSUELTO UN HACKER SOSPECHOSO DE HABER ASALTADO 40 EMPRESAS Y
ORGANISMOS PÚBLICOS

"Quickbasic" no dañaba los sistemas informáticos y avisaba a los
administradores de los fallos que tenían


Mercè Molist
Juan Pablo Corujo, un joven de Pontevedra de 33 años, practicaba una
curiosa forma de asaltar ordenadores: no provocaba daños y avisaba
del agujero por el que había entrado a los administradores,
ofreciéndoles su dirección de correo electrónico. Esta buena fe,
junto a la falta de pruebas para demostrar la mayoría de intrusiones
de que se le acusaba, ha sido determinante para que una juez le haya
absuelto de todos los cargos, que podían haberle llevado a prisión.

La Guardia Civil detuvo a Juan Pablo Corujo en mayo de 2001.
Acusaban a "Quickbasic", como se le conocía en Internet, de
modificar la web del ministerio de Hacienda, sustituyéndola por un
texto que ponía en duda la profesionalidad de sus administradores.
El joven lo admitió, así como haber entrado en el servidor web del
diario "ABC", donde introdujo una noticia falsa que estuvo en
portada diez segundos. En ambos sitios no causó daños y dejó una
nota, explicando cómo reponer las portadas antiguas y qué fallo
había aprovechado para entrar.

"Les dejé mi nombre, apodo y dirección de correo electrónico, por si
querían contactar conmigo y, para mi sorpresa, quien me contactó fue
la Guardia Civil. No me lo esperaba. Quizá una multa pero no que
pidiesen prisión, ni que enviasen un comando de Madrid a detenerme.
El fallo que aproveché para entrar era muy conocido, un error de los
servidores web de Microsoft: con un simple navegador podías listar
el contenido de todo el disco duro y, con un poco más de
conocimiento, tomar el control", explica. Curiosamente, la Guardia
Civil no siguió su pista por la dirección de correo que dejó en los
servidores asaltados sinó por el apodo "Pablo", que usaba en la red
de chats IRC-Hispano.

Según los agentes, en la web de Hacienda "copió una pequeña base de
datos de clientes que habían comprado bonos del Estado, con su
nombre, DNI y algo más". Pero esta lista no se localizó en el
análisis posterior del ordenador del joven. En cambio, los agentes
encontraron información de más de 40 empresas y organismos públicos
que parecían haber sido víctimas o futuros objetivos de
"Quickbasic", entre ellas la Conferencia Episcopal, el Corte Inglés,
Telefónica, la Tesorería de la Seguridad Social, el Centro de
Investigaciones Sociológicas o Endesa. Destacaba una base de datos
con nombres y direcciones electrónicas de 3.505 suscriptores del
boletín del Partido Popular y 900 personas vinculadas al partido,
entre ellas senadores y congresistas.

"Quickbasic" afirmó que lo había copiado todo de un ordenador de
Estados Unidos, no de los sitios originales. La Guardia Civil se
puso en contacto con las 40 empresas y organismos, pero la mayoría
no presentaron cargos, por no haber detectado intrusiones ni daños
en sus sistemas. Sólo le acusaron formalmente el Partido Popular, la
Tesorería de la Seguridad Social y la Universidad de Santiago de
Compostela, aunque no había pruebas fehacientes de estas intrusiones
porque, según la sentencia, "eran archivos muy antiguos y el Partido
Popular y estas empresas ya los tenían borrados".

El PP pedía cuatro años de prisión y que se le abonasen los gastos
de la auditoría que llevó a cabo en sus ordenadores, así como la
compra de programas para asegurar sus sistemas. "Quickbasic" afirma:
"En el juicio, su abogado me preguntó por qué no había entrado
también en máquinas socialistas, quería convertirlo en un caso
político pero a mi no me interesa la política. Lo que me interesaba
era llamar la atención de lo inútiles que eran los administradores.
Modificar las webs era como una pintada de protesta, con el añadido
que por sí misma la "pintada" demostraba su incompetencia".

El joven participó activamente en su defensa, llamando una por una a
las 40 empresas y organismos que aparecían en su ordenador, para
pedirles que no le denunciasen. También salió en el programa "Alerta
112" de Antena 3, para mostrar los métodos que había usado en sus
intrusiones y lo sencillo que había sido. Este vídeo acabó constando
como prueba en el juicio.

La sentencia absuelve a Juan Pablo Corujo por no haber pruebas de
las intrusiones ni tampoco daños en las dos que se han demostrado. Y
marca jurisprudencia en el controvertido tema de si es lícito que
los hackers informen de las vulnerabilidades que descubren: "Dudamos
de que se quisieran dañar los sistemas informáticos en un caso en
que su autor manifiesta que sólo pretendía advertir de la existencia
de fallos de seguridad, por lo que dejó todo un rastro y señas de
identidad, pretendiendo que se pusiesen en contacto con él". Según
el abogado defensor, Carlos Sánchez Almeida, "se confirma que si el
hacker no causa daños ni obtiene secretos, sólo denuncia una
vulnerabilidad, no hay delito".

De todas formas, a "Quickbasic", que hoy trabaja de comercial de
informática y está más interesado en la robótica que en la
exploración de vulnerabilidades, se le han pasado las ganas de hacer
de justiciero: "Fui un ingenuo al pensar que lo que hacía no era una
delito, como me intentaron achacar. No recomiendo en absoluto que la
gente lo haga".



Sentencia
http://www.bufetalmeida.com/sentencias/pp.html
Webs de Quickbasic
http://robotidus.mypets.ws
http://sentencia.webhop.net




Copyright 2005 Mercè Molist.
Verbatim copying, translation and distribution of this entire
article is permitted in any digital medium, provided this notice is
preserved.









More information about the hacking mailing list